Das erste Jahr der Geltung der EU-Datenschutzgrundverordnung (DSGVO) geht zu Ende. Aus der aufsichtsbehördlichen Sicht des Hamburgischen Beauftragten für Datenschutz und Informations-freiheit (HmbBfDI) fällt das Fazit anlässlich des ersten Jahrestags der DSGVO ambivalent aus. Einerseits hat das Bewusstsein für Datenschutz in der Gesellschaft deutlich zugenommen. Bürgerinnen und Bürger, die Unternehmen sowie die Politik haben dieses Handlungsfeld mehr denn je im Fokus.
Ein besserer materieller Schutz und eine stärkere Selbstbestimmung im Umgang mit den eigenen Daten werden nicht zuletzt durch die europaweite Harmonisierung der Datenschutz-bestimmungen und die wesentliche Verstärkung der Sanktionsbefugnisse der Aufsichtsbehörden bewirkt. Die DSGVO ist in der Welt des Datenschutzes ein Leuchtturm, dessen Licht von Europa auch in weit entfernte Regionen der Welt fällt und dort sehr wohl genau wahrgenommen wird.
Andererseits haben sich nicht alle Erwartungen und Hoffnungen an das neue Datenschutzrecht erfüllt. Insbesondere drei Aspekte sind hierfür verantwortlich: die Überlastung der Aufsichtsbehörden, die Gefahr einer Überbürokratisierung und der schwierige Vollzug des Rechts bei grenzüberschreitender Datenverarbeitung in der EU. Um die DSGVO zu einem durchgreifenden Erfolg werden zu lassen, sind daher weitere Anstrengungen vonnöten.
Was die Auslastung der Aufsichtsbehörden anbelangt, so sprechen die statistischen Zahlen für den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit eine deutliche Sprache (siehe https://datenschutz-hamburg.de/assets/pdf/dsgvo-flyer.pdf). Die Anzahl der beim HmbBfDI seit dem 25. Mai 2018 eingegangenen Eingaben bzw. Beschwerden der Bürgerinnen und Bürger hat sich gegenüber dem Vorjahreszeitraum etwa verdoppelt. Die Meldungen über Datenschutzverletzungen (Data Breaches) haben sich im Vergleich zu der Zeit vor der DSGVO gar vervielfacht. Die deutliche Zunahme der Arbeitsbelastung beim HmbBfDI wird derzeit personell nicht aufgefangen. Dies geht zu Lasten der Bürgerinnen und Bürger, deren Beschwerden nicht in der erwarteten Frist bearbeitet werden können sowie der Unternehmen, deren Beratung kaum noch stattfinden kann. Dieser dramatischen Entwicklung kann nur mit einen besseren personellen Ausstattung der Behörde begegnet werden.
Da die DSGVO eine Regelung mit unmittelbarer europaweiter Geltungskraft ist, spielen – vor allem mit Blick auf global agierende Internetkonzerne – grenzüberschreitende Aspekte der Datenverarbeitung eine zentrale Rolle. Hier zeigt sich, dass gerade gegenüber den vielen Datenschutzvorkommnissen der letzten 12 Monate mit zum Teil Millionen von Betroffenen eine schnelle und klare Aufarbeitung der Vorfälle durch die Aufsichtsbehörden noch auf sich warten lässt. Das liegt auch daran, dass die Abstimmungsprozesse der an einem grenzüberschreitenden Fall beteiligten Aufsichtsbehörden überaus komplex sind. Rechtliche Entscheidungen werden dadurch erschwert und verzögert. Rein lokale Fälle hingegen können meist zügig entschieden werden. Es kann so der Eindruck entstehen, dass man nur die vor Ort ansässigen kleineren Unternehmen im Fokus hat, aber die global agierenden und EU-weit aktiven Konzerne verschont und dass die Vollzugspraxis in den jeweiligen Mitgliedstaaten stark voneinander abweicht. Das Vertrauen in die DSGVO als ein zentrales Element der modernen europäischen Rechtskultur, in die rechtstaatlichen Grundprinzipien und letztlich auch in den Gemeinsamen Markt in Europa wird dadurch gefährdet. Vor diesem Hintergrund kommt der Arbeit aller im Europäischen Datenschutzausschuss als höchstem Gremium für den Datenschutz auf EU-Ebene vertretenen Behörden gerade in den kommenden Jahren eine zentrale Rolle zu.
Hierzu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Nach einem Jahr DSGVO mit sowohl positiven als auch negativen Erfahrungen liegen nun die Möglichkeiten für einen Erfolg oder Misserfolg der europaweiten Regelung eng beisammen. Wo Fehlentwicklungen erkennbar sind, muss eine Evaluierung der gesetzlichen Regelungen erfolgen. Dies ist in der DSGVO bereits vorgesehen. Gleichzeitig bedarf es der Bereitschaft der Haushaltsgesetzgeber in den Mitgliedstaaten, die Aufsichtsbehörden für ihre qualitativ wie auch quantitativ gestiegenen Aufgaben angemessen auszustatten. Ich bin optimistisch, dass es gelingt, gemeinsam den Schutz von Rechten und Freiheiten Betroffener zu intensivieren und trotz komplexer Regelungen effektive und effiziente Verwaltungsverfahren bei der grenzüberschreitenden Datenverarbeitung in Europa durchzuführen. Das mit berechtigten Hoffnungen auf den Weg gebrachte neue Datenschutzrecht muss und wird sich auch in der Verwaltungspraxis beweisen.“
Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit